从技术上讲，所有SSL域验证基本上是相同的吗？

Question

我已经在谷歌上搜索过这个问题，也没有找到一个直截了当的答案。考虑到最近的情况发生了很大变化，我读到的这个问题有点不同，而且有点过时。

我想知道的是，如果您不打算获得OV或EV证书，只需要普通的DV类型证书，那么我们就可以提供各种类型的证书，例如：

• 免费的证书，例如，让我们加密
• 现在，许多主机在它们的主机上分发免费证书(不一定要加密)
• AutoSSL从cPanel (免费)
• $198来自DigiCert的标准SSL证书
• 来自RapidSSL的59美元标准证书

我可以继续，但你明白重点。这些证书在技术上有什么区别吗？据我所知，LE的证书仅在最近三个月才到期，所以您将不得不经常续签--就是这样吗？

如果没有真正的区别，那么为什么不使用cPanel提供的免费服务呢？为什么一个人每年花198美元，而他们可以免费得到它？

我唯一能想到的其他非技术上的区别是，如果你付了一个，你就能得到包括在内的保险。

浏览器是否更有可能让您在CA信任存储中付费，因此应该避免使用免费浏览器吗？

所以我想我理解非技术上的不同，但我在寻找一个答案，是在技术上还是在“更安全”的选择？

Answer 1

“如果没有真正的区别，那么为什么不使用cPanel提供的免费服务呢？”

使用此接口在域、子域或addon域上安装SSL证书。在使用此功能之前，必须创建或购买证书，并且必须拥有证书的密钥。

直接从cPanel的网站看起来，你必须购买一个证书，或者你可以使用一个cPanel提供的，但这可能是一个自我签署的证书。没有看到cPanel提供的内容，我就无法保证cPanel提供的是一个CA签名的证书。

如果您选择来自cPanel的免费证书，它将告诉您它是否属于自签名品种：

安装证书时，此接口指示证书是否自签名.自签名证书是攻击者的容易攻击目标，并在用户的web浏览器中生成安全警告。只暂时安装自签名证书，直到可以用有效证书颁发机构(CA)的证书替换证书为止。

实际上，您可以查看所提供的证书，并确定它是否“在技术上”与另一个证书相同。

如果要在计算机上解码证书，请使用以下命令：

openssl x509 -in certificate.crt -text -noout

如果您不介意将您的证书提供给要“阅读”的网站(这与在使用时读取证书时发生的情况相同)：

https://www.sslshopper.com/certificate-decoder.html

通常，您选择一个模数值(2048或4096，任何较低的值都是弱的)，PKI加密类型(ECC或RSA，对于普通使用都是安全的)，对称加密类型(AES 128对于普通使用是安全的)和任何散列(SHA-256是常见的，我更喜欢SHA-384，因为更多位)。如果你比较两种RSA 2048，AES-128，SHA-256证书，它们在技术上是相同的，不管它们花费多少。

在2020年3月，大多数浏览器将不再接受SSL (任何版本)、TLS 1.0或TLS 1.1。如果有此选项，请确保至少使用TLS 1.2证书。